星巴克、瑞幸、COSTA COFFEE等被约谈——点个咖啡，请不要违规收集个人信息

中国消费者报报道（记者武晓莉）上海市网信办和上海市市场监管局近期在个人信息保护领域频频亮剑。星巴幸C信息“亮剑浦江•2024”专项执法行动聚焦咖啡消费场景下个人信息权益保护开展专项整治，克瑞咖啡两部门已对星巴克、等被点瑞幸咖啡、约谈Manner Coffee、违规麦咖啡、收集Tims天好咖啡、个人挪瓦咖啡、星巴幸C信息COSTA COFFEE 、克瑞咖啡M Stand、等被点Seesaw Coffee、约谈niiice café、违规Peet's Coffee、收集库迪咖啡等24家连锁咖啡企业开展普法培训和合规指导。个人同时，星巴幸C信息通过对该场景下几类常见违法违规问题的梳理，发布咖啡消费场所个人信息保护案例解析。

“从消费者权益保护的角度，无论是APP还是微信小程序都需要遵循告知同意的基本原则，充分给予消费者选择权。”TalkingData法务总监兼数据合规官葛梦莹对《中国消费者报》记者说，“保持收集和使用个人信息的透明度，最大限度地避免消费者权益被侵害，是企业信息保护合规的基本要求。”

问题一：强制或默认同意隐私政策

“消费者首次使用某咖啡企业微信小程序点单时，弹窗提示消费者阅读隐私政策，但未提供拒绝选项”“下单页面默认勾选0元入会按钮，且默认‘我已阅读并同意《会员服务协议》’”，该行为被认定为“强制同意隐私政策行为”和“默认同意隐私政策行为”，侵害了消费者的个人信息权益。

葛梦莹认为，“告知—同意”是个人信息处理规则的核心内容之一，目前不同企业对于告知与同意的细化落地标准有所差异。为了更好地保护用户个人信息权益，市场监管总局、国家标准化管理委员会于2023年5月23日发布了GB/T 42574—2023《信息安全技术 个人信息处理中告知和同意的实施指南》，针对告知要求，特别细化了三种告知时机，即首次告知、同步告知、再次告知，尽可能让用户对于个人信息处理规制有更清晰的理解，通过优化不同阶段告知的内容和体量，以提升个人的接受度。

此外，葛梦莹指出，如果入会涉及次月自动续费等操作，若默认勾选“自动续费”选项，则违反了《电子商务法》相关规定。根据全国信息安全标准化技术委员会《网络支付服务数据安全指南》（征求意见稿）关于自动支付扣款的相关要求，网络支付业务系统根据用户自动扣款（代收代扣）授权协议自动生成自动扣款（代收代扣）协议编号，并在自动扣款（代收代扣）交易处理中验证协议关系，确保自动扣款（代收代扣）业务由签约商户（收款人）定期发起，避免未经用户授权的资金扣划。

问题二：隐私政策缺失不实或不完整

“通过微信小程序点单，虽然弹窗提示消费者阅读隐私政策，但该隐私政策仅为第三方隐私政策模板”“小程序隐私政策承诺外送订单功能会在‘消费者授权同意前提下’收集精准地理位置信息，但实际使用该功能时，小程序强制消费者授权精准地理位置信息”“咖啡点单小程序隐私政策包含‘微信小程序第三方SDK目录’一节，但未列出具体清单目录”。

两部门解析认为，第三方隐私政策模板由于未包含本小程序的个人信息处理者名称、处理目的、处理方式等事项，属于隐私政策缺失；隐私政策写明精准地理位置信息系“授权收集”，但实际操作中却属于“强制收集”，存在隐私政策不实的问题。

葛梦莹认为，APP运营者在嵌入SDK时，需要告知SDK的名称及其提供者名称、联系方式、SDK个人信息处理规则，否则就属于隐私政策不完整。SDK的个人信息保护规则可以链接文本等方式体现，APP如果嵌入一个或多个SDK的，可采用表格、链接文本等形式在APP个人信息保护政策中逐一列举。此规定与工业和信息化部发布的《关于开展信息通信服务感知提升行动的通知》中提出的双清单要求是一致的，即建立已收集个人信息清单和与第三方（包括SDK）共享个人信息清单。

问题三：强制或频繁诱导收集位置信息

“点单时，小程序点单功能弹窗索要精准位置信息权限，用户点击拒绝后，仍持续提示用户授权精准位置信息，否则无法点单”“小程序点单功能弹窗申请精准位置信息权限，用户点击拒绝后，继续弹窗申请精准位置信息权限”，该行为被认定为强制或频繁诱导收集精准位置信息行为。

一般情况下，人们认为精确位置是点单的必要信息，但两部门认为《个人信息保护法》规定，处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。收集个人信息应当限于实现处理目的的最小范围，不得过度收集个人信息。《APP违法违规收集使用个人信息行为认定方法》规定，用户明确表示不同意后，仍收集个人信息或打开可收集个人信息的权限，或频繁征求用户同意、干扰用户正常使用，可被认定为“未经用户同意收集使用个人信息”。精准位置信息对于点单来说非必要信息，上述案例侵犯了消费者个人信息权益。

“合规操作要求企业必须严格遵循收集消费者个人信息‘最小必要’和‘告知同意’原则，才能切实履行个人信息保护义务。”葛梦莹说道。

据了解，两部门已要求企业要对照案例解析举一反三进行自查整改，整改不力将依法受到处罚。